vendredi 7 août 2020
Promotion Meilleur VPN 2020
Accueil Malwares Les utilisateurs Mac visés par une nouvelle variante du malware Xagent lié...

Les utilisateurs Mac visés par une nouvelle variante du malware Xagent lié à l’APT28

Le malware sophistiqué Xagent s’attaque désormais aux utilisateurs Mac pour détourner des mots de passe et des sauvegardes iPhone.

Alerte Bitdefender – Les pirates responsables de la menace APT28 ont renforcé leur arsenal – la charge utile du malware Xagent peut maintenant cibler des utilisateurs sous macOS dans le but de voler des mots de passe, faire des captures d’écran mais également voler des sauvegardes iPhone stockées sur le Mac.

L’année dernière, une étude complète avait été publiée sur ce qui s’est révélé être l’une des plus grandes campagnes de cyber-espionnage, présumément liée à la Russie.

L’échantillon auquel nous nous intéressons aujourd’hui est lié à la version Mac du composant Xagent de Sofacy / APT28 / Sednit APT. Cette porte dérobée modulaire avec des capacités avancées de cyber-espionnage est probablement installée sur le système via le downloader Komplex.

Une fois installée avec succès, la porte dérobée vérifie si un débogueur est attaché au processus. S’il en détecte un, il s’arrête lui-même pour empêcher l’exécution. Sinon, il attend qu’une connexion Internet soit établie avant de lancer la communication avec les serveurs C&C. Une fois la communication établie, la charge utile démarre les modules.

L’analyse préliminaire montre que la plupart des URL des serveurs C&C prennent l’apparence de noms de domaines Apple. Une fois connecté au C&C, la charge utile envoie un “HelloMessage“, puis génère deux fils de communication s’exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes.

Où ces modules d’espionnage macOS s’installent-ils ?

L’analyse révèle la présence de modules capables de sonder les configurations matérielles et logicielles du système, d’obtenir la liste des processus en cours d’exécution, d’exécuter des fichiers supplémentaires, d’obtenir des captures d’écran et de récolter les mots de passe du navigateur.

Mais le module le plus important, du point de vue de la collecte d’informations, est celui qui permet aux pirates d’exfiltrer les sauvegardes d’un l’iPhone stockées sur un Mac corrompu.

Tous ces modules sont en attente d’analyse (un document détaillé documentant toutes les fonctionnalités des modules sera disponible sous peu.)

La précédente analyse d’échantillons connus pour être liés au groupe APT28 montre un certain nombre de similitudes entre le composant Sofacy / APT28 / Sednit Xagent pour Windows / Linux, et le binaire macOS actuellement étudié par nos équipes. Pour une fois, la présence de modules similaires a été détectée, tels que FileSystem, KeyLogger et RemoteShell, ainsi qu’un module de réseau semblable appelé HttpChanel.

D’autres indicateurs montrent que l’échantillon d’aujourd’hui utilise également une adresse URL d’un serveur C&C identique au cheval de Troie OSX Komplex de Sofacy / APT28 / Sednit, moins le TLD (apple – [*******] .net pour Komplex vs apple – [* ******]. Org pour Xagent).

L’expertise forensique du binaire révèle aussi des chaînes binaires identiques dans les clients Komplex et Xagent, comme ci-dessous :

  • Chaîne binaire Komplex: “/ Users / kazak / Desktop / Project / komplex”
  • Chaîne binaire Xagent Mac: “/ Users / kazak / Desktop / Project / XAgentOSX”

Les équipes Bitdefender concluent donc cette première étape des analyses en supposant que c’est le composant Komplex découvert en septembre dernier qui a été utilisé afin de diffuser le malware Xagent sur macOS.

L’enquête est en cours. Une étude complète sera bientôt disponible.

De manière générale, les utilisateurs Mac soucieux d’éviter les malwares tels que Xagent devraient toujours éviter les App store alternatifs, et ne se fier qu’au Store officiel et aux développeurs disposant d’une bonne renommée.

*Analyse fournie par Tiberius Axinte, Responsable Technique chez BitdefenderLabs.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.

Comment se protéger sur un casino en ligne

En Septembre 2018, un jeune de 17 ans a réussi à pirater un casino et à détourner 250 000 euros en un mois. Voici comment éviter au maximum ce désagrément.